HAQM Detective のよくある質問

HAQM Detective は、AWS マネジメントコンソールでわずか数回クリックするだけで有効にできます。HAQM Detective が有効になると、データが自動的にグラフモデルにまとめられます。そのモデルは新しいデータが利用可能になる度に、継続的にアップデートされます。HAQM Detective を体験して、潜在的なセキュリティ問題の調査を開始しましょう。

AWS マネジメントコンソール内から、または HAQM Detective API を使用して、HAQM Detective を有効にできます。すでに HAQM GuardDuty または AWS Security Hub コンソールを使用している場合、最適なクロスサービスエクスペリエンスを得るには、HAQM GuardDuty または AWS Security Hub の管理者アカウントと同じアカウントで HAQM Detective を有効にする必要があります。

はい。HAQM Detective は、同じリージョン内の単一の管理者アカウントでモニタリング対象のメンバーアカウントからデータを集約するマルチアカウントサービスです。HAQM GuardDuty と AWS Security Hub で管理者アカウントとメンバーアカウントを設定するのと同じ方法で、マルチアカウントモニタリングのデプロイを設定できます。

HAQM Detective を使用すると、HAQM Virtual Private Cloud (HAQM VPC) フローログ、AWS CloudTrail ログ、HAQM Elastic Kubernetes Service (HAQM EKS) の監査ログ、AWS Security Hub の検出結果、HAQM GuardDuty の検出結果に関連する概要や分析データを閲覧できます。

はい。アカウントで HAQM GuardDuty を有効にしていない場合でも HAQM Detective を使用できます。HAQM Detective を使用すると、AWS アカウント、EC2 インスタンス、AWS ユーザー、ロール、IP アドレス間の動作とやり取りに関する詳細を要約、分析、可視化できます。この情報は、セキュリティ問題または運用上のアカウントアクティビティを理解するのに非常に役立ちます。HAQM GuardDuty は、「Key implementation guidelines of the AWS SRA」の一部である規範的ガイダンス「AWS Security Reference Architecture (SRA)」に含まれるサービスです。

HAQM Detective を有効にするとすぐにログデータの収集を開始し、取り込まれたデータの視覚的な概要と分析結果を示します。HAQM Detective は、2 週間のアカウントモニタリング後に確立された履歴ベースラインと最近のアクティビティとの比較も行います。

はい、アマゾンセキュリティレイクとのインテグレーションを使用して AWS CloudTrail ログと HAQM VPC フローログをエクスポートできます。統合がどのように機能するかは、「HAQM Detective for HAQM セキュリティレイク」セクションで確認できます。

HAQM Detective は、AWS 責任共有モデルに準拠しており、これにはデータ保護のための規制とガイドラインへの準拠も含まれます。HAQM Detective 有効にすると、有効になっているアカウントの AWS CloudTrail ログ、HAQM VPC Flow Logs、HAQM EKS 監査ログ、統合された AWS のサービスから AWS Security Hub に送信された検出結果、HAQM GuardDuty の検出結果から得られたデータを処理します。

HAQM Detective はログデータと結果を AWS のサービスから直接取得するため、HAQM Detective は AWS インフラストラクチャのパフォーマンスや可用性に影響を与えません。

HAQM GuardDuty は、悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービスで、AWS アカウントとワークロードを保護します。AWS Security Hub により、複数の AWS のサービス (HAQM GuardDuty、HAQM Inspector、HAQM Macie など) および AWS パートナーソリューションにおけるセキュリティアラートと検出結果を、一元的に集約、整理、優先順位付けできます。HAQM Detective は、セキュリティの検出結果を調べ、根本原因を特定するプロセスを簡素化します。HAQM Detective は、HAQM VPC Flow Logs、AWS CloudTrail ログ、HAQM EKS 監査ログ、統合された AWS のサービスから AWS Security Hub に送信された検出結果、HAQM GuardDuty の検出結果などの複数のデータソースから数兆個のイベントを分析し、リソース、ユーザー、およびそれらの間の経時的な相互作用の統一されたインタラクティブなビューを提供するグラフモデルを自動的に作成します。

HAQM Detective を使用すると、AWS CloudTrail ログ、HAQM VPC フローログ、HAQM EKS 監査ログ、統合された AWS サービスから AWS セキュリティハブに送信された結果、および HAQM GuardDuty の調査結果からのセキュリティデータを分析して視覚化できます。HAQM Detective がお客様のアカウントのこれらのログや結果を分析しないようにするには、API を使用するか、HAQM Detective 用 AWS コンソールの設定セクションからサービスを無効にしてください。

HAQM Detective はさまざまな視覚化を行い、AWS アカウント、EC2 インスタンス、ユーザー、ロール、IP アドレス、HAQM GuardDuty の結果といった AWS リソースに関するコンテキストと洞察を示します。各視覚化は、調査結果と関連するアクティビティを分析するときに出てくる特定の質問に答えるように設計されており、パネルを解釈し、その情報を使用して調査の質問に答える方法を明確に説明するガイダンスをテキストで提供します。

HAQM Detective は、HAQM GuardDuty、AWS セキュリティハブ、および HAQM セキュリティレイクとのコンソール統合をサポートすることにより、クロスサービスのユーザーワークフローをサポートします。GuardDuty と Security Hub には、コンソール内からリンクが用意されており、選択した結果から、選択した結果を調査するための精選された視覚化セットを含む HAQM Detective ページに直接リダイレクトできます。HAQM Detective には、お客様の調査に基づいて、HAQM Security Lake からログファイルをクエリしてダウンロードできるクエリがあらかじめ組み込まれています。HAQM Detective の調査結果詳細ページは、すでに検出結果の時間枠に合わせて調整されており、調査結果に関連するデータが表示されます。

さまざまなパートナーセキュリティソリューションプロバイダーが HAQM Detective と統合して、自動化されたプレイブックやオーケストレーション内の調査手順を有効にしました。これらの製品の応答ワークフロー内で、HAQM Detective ページにユーザーをリダイレクトするリンクが提示されます。このページには、ワークフロー内で特定された検出結果とリソースを調査するためにキュレーションされた視覚化情報が含まれています。

HAQM Detective を有効にすると、AWS Security Hub と統合された AWS サービスのユーザー、ネットワーク、および設定のアクティビティを自動的かつ継続的に分析し、関連付けます。HAQM Detective は、AWS セキュリティ検出結果と呼ばれるオプションのデータソースを通じて、AWS セキュリティサービスから AWS Security Hub に転送されたセキュリティ検出結果を自動的に取り込みます。

AWS セキュリティハブは、複数の AWS サービスとの統合をサポートしています。HAQM Macie から機密データが見つかることを期待すると、Security Hub とのその他すべての AWS サービス統合に自動的にオプトインされます。Security Hub と統合サービスのいずれかを有効にした場合、それらのサービスは結果を Security Hub に送信します。Detective はこれらの検出結果を取り込んでグラフに追加するため、統合されたすべての AWS サービスのセキュリティ調査を実施できます。これらのサービスには、AWS Config、AWS ファイアウォールマネージャー、HAQM GuardDuty、AWS Health、AWS ID およびアクセス管理アクセスアナライザー、HAQM Inspector、AWS IoT Device Defender、HAQM Macie、AWS システムマネージャーパッチマネージャーが含まれます。

デフォルトでは、AWS のセキュリティ調査結果は Detective を使用する新規アカウントのデータソースとして有効になっています。AWS セキュリティ調査結果のサポートがリリースされる前に Detective を使用していた場合は、このデータソースを有効にする必要があるかもしれません。「管理ガイド」の「 AWS security findings」に記載されている手順に従って、Detective のデータソースを確認できます。このデータソースは、Detective を使用する予定の各地域で有効にする必要があります。

HAQM Detective は、独立した重複したログストリームを使用してセキュリティ結果を使用するため、HAQM Detective は AWS セキュリティサービスのパフォーマンスに影響を与えないように設計されています。このように、HAQM Detective が AWS のセキュリティ調査結果を使用しても、AWS Security Hub や統合された AWS セキュリティサービスの使用コストは増加しません。

HAQM Detective による AWS セキュリティ結果の消費量は、HAQM Detective によって処理および分析された結果の量に基づいて価格設定されます。HAQM Detective は、AWS のセキュリティ結果を有効にしているすべてのお客様に 30 日間の無料トライアルを提供しています。これにより、お客様は HAQM Detective の機能がセキュリティニーズを満たしていることを確認し、有料利用を開始する前にサービスの月額費用の見積もりを取得できます。

いいえ。HAQM Detective は、各サービスから送信された検出結果に対して一度だけ請求します。 

2 つのサービスを統合すると、HAQM Detective はセキュリティ調査のために HAQM Security Lake から AWS CloudTrail ログと HAQM 仮想プライベートクラウド (HAQM VPC) フローログをクエリして取得できるようになります。この統合を使用して、HAQM Detective で調査を開始し、ログに追加の詳細情報を保存する必要がある場合は、特定の AWS CloudTrail ログまたは HAQM VPC フローログをプレビューまたはダウンロードできます。たとえば、過去 24 時間の IAM ユーザーからの不審なアクティビティを調査している場合、HAQM Detective を使用して、API メソッドパネルで IAM ユーザーが操作したサービスの概要を取得できます。ロールを記述するための API 呼び出しなど、潜在的なセキュリティ問題を表すサービスとのやりとりを観察した場合は、その IAM ユーザーの AWS CloudTrail ログをダウンロードできます。HAQM Detective は、調査対象の時間とエンティティ (IAM ユーザーの場合は過去 24 時間) を対象とした、HAQM Athena を使用して事前に作成された SQL クエリを提供します。これにより、クエリとログの取得が容易になります。この統合により、SQL クエリを最初から作成する必要がなくなるため、時間を節約できます。また、HAQM Detective コンソールを離れることなく結果をプレビューしてダウンロードできます。

2 つのサービス間の統合を有効にするには、HAQM CloudFormation テンプレートを実行する必要があります。このテンプレートは、HAQM Security Lake のログをクエリして使用するための十分な権限を持つサブスクライバーアカウントを作成し、ログのクエリとダウンロードに使用される追加の AWS サービスをアカウントにデプロイします。HAQM CloudFormation テンプレートがデプロイする内容は、HAQM Detective ユーザーガイドで確認できます。

HAQM Detective の料金と HAQM セキュリティレイクの料金に基づいて、各サービスの料金が請求されます。さらに、HAQM Athena を使用するクエリごとに料金が発生し、統合をサポートするためにアカウントにデプロイされた追加の AWS サービスにも料金がかかります。AWS 料金見積りツールを使用して、2 つのサービスを統合するための総コストを見積もることができます。

はい。HAQM CloudFormation テンプレートは、HAQM Detective と HAQM セキュリティレイクを統合する各 AWS リージョンで実行する必要があります。 

HAQM Elastic Kubernetes Service (HAQM EKS) 用 HAQM Detective

有効にすると、HAQM Detective は HAQM EKS ワークロード全体のユーザー、ネットワーク、設定のアクティビティを自動的かつ継続的に分析し、関連付けます。HAQM Detective は、HAQM EKS 監査ログを自動的に取り込み、ユーザーアクティビティを AWS CloudTrail 管理イベントと関連付けたり、ネットワークアクティビティを HAQM VPC フローログと関連付けたりします。これらのログを手動で有効化または保存する必要はありません。このサービスは、これらのログから重要なセキュリティ情報を抽出し、セキュリティ行動グラフデータベースに保持します。これにより、12 か月間のアクティビティにすばやく相互参照できます。HAQM Detective には、行動グラフデータベースに裏付けられた一般的なセキュリティ上の質問に答えるのに役立つデータ分析および視覚化レイヤーが用意されています。これにより、HAQM EKS ワークロードに関連する潜在的な悪意のある行動をより迅速に調査できます。

デフォルトでは、HAQM EKS 監査ログは Detective を使用するアカウントのデータソースとして有効になっています。EKS 監査ログのサポートがリリースされる前に Detective を使用していた場合は、このデータソースを有効にする必要がある場合があります。「管理ガイド」の「 HAQM EKS audit logs for Detective」に記載されている手順に従って、Detective のデータソースを確認できます。このデータソースは、Detective を使用する予定の各地域で有効にする必要があります。

HAQM Detective は、独立した重複した監査ログストリームを使用して監査ログを消費するため、HAQM Detective が HAQM EKS のワークロードのパフォーマンスに影響を与えないように設計されています。このように、HAQM Detective が HAQM EKS 監査ログを消費しても、HAQM EKS の使用コストは増加しません。

HAQM Detective の HAQM EKS 監査ログの消費は、HAQM Detective によって処理および分析された監査ログの量に基づいて料金設定されます。HAQM Detective は、HAQM EKS のカバレッジを有効にするすべてのお客様に 30 日間の無料トライアルを提供し、お客様は HAQM Detective の機能がセキュリティニーズを満たすことを確認し、有料での使用をコミットする前にサービスの月額コストの見積もりを取得することができます。

現在、この機能は、AWS アカウントの EC2 インスタンスで実行されている HAQM EKS デプロイをサポートしています。Detective は、HAQM GuardDuty EKS ランタイムモニタリングと ECS ランタイムモニタリング (ファーゲートでの HAQM ECS のモニタリングを含む) のサポートも提供しています。この機能では、EC2 または ES Anywhere 上の非マネージド Kubernetes を可視化することはできません。